Mot de passe
Objectifs
- Expliquer le stockage des mots de passe.
- Expliquer une fonction de hachage.
- Expliquer une attaque par force brute.
- Expliquer une attaque par dictionnaire.
- Évaluer un mot de passe.
Cours
Mot de passe
Enjeux de sociétéMot de passe
Pourquoi ?
Authentification
Preuve que vous êtes bien qui vous prétendez être.
Comment ?
Chaîne de caractères secrète
Vous êtes la seule personne à la connaître.
Stockage des mots de passe
Base de données
Nom d'utilisateur | Mot de passe |
|---|---|
user0 | password |
user1 | bonjour123 |
gymnase | vaud25 |
admin | 123456 |
… | … |
Solution naïve
Solution naïve
Problème
Stockage des mots de passe en clair.
Vol de la base de données ?
Accès à tous les mots de passe (par des hackers et des employés).
Meilleure solution ?
Pas besoin de stocker le mot de passe en clair.
Vérifier s'il est correct.
Fonction de hachage
https://commons.wikimedia.org/wiki/File:Gen_not_surjection_not_injection.svg
Fonction de hachage : Empreinte digitale
Caractéristique d'une fonction de hachage :
Déterministe (Identique)
Une même personne a toujours la même empreinte digitale.
Unique (Pas de collision)
Deux personnes différentes ont des empreintes digitales différentes.
Irréversible (Fonction à sens unique)
Impossible de retrouver la personne uniquement à partir de son empreinte digitale.
Fonction de hachage : Pixellisation
Base de données
Nom d'utilisateur | Empreinte |
|---|---|
user0 | 5f4dcc3b |
user1 | dd3aee22 |
gymnase | 4994ed91 |
admin | e10adc39 |
… | … |
Solution avec hachage
Solution avec hachage
Les mots de passe ne sont plus stockés en clair.
Si la base de données est volée, les mots de passe ne sont pas accessibles.
Besoin de casser le hachage
Attaque par force brute
Comment casser un mot de passe haché ?
Attaque par force brute
Tester toutes les combinaisons possibles
0000, 0001, 0002, … 9999
Combien de combinaisons possibles ?
10x10x10x10 = 104 = 10 000
Nombre de combinaisons
Combien de caractères possibles ?
Chiffres : 0-9 ?
10
Lettres minuscules : a-z
26
Lettres minuscules et majuscules : a-zA-Z
52
Caractères spéciaux : !@#$%^&*()
10 (par exemple)
Longueur du mot de passe ?
Que des minuscules d'une longueur de 6 caractères ?
266 = 308 915 776 combinaisons
Nombre de combinaisons
| Nombres | Lettres minuscules | Lettres majuscules et minuscules | Nombres et lettres |
|---|---|---|---|---|
Longueur 4 | 104 | 264 | 524 | 624 |
Longueur 8 | 108 | 268 | 528 | 628 |
Longueur 12 | 1012 | 2612 | 5212 | 6212 |
Longueur 16 | 1016 | 2616 | 5216 | 6216 |
Nombre de combinaisons
| Nombres | Lettres minuscules | Lettres majuscules et minuscules | Nombres et lettres |
|---|---|---|---|---|
Longueur 4 | 10 k | 457 k | 7 M | 15 M |
Longueur 8 | 100 M | 209 G | 53 T | 218 T |
Longueur 12 | 1 T | 95 P | 391 E | 3 Z |
Longueur 16 | 10 P | 43 Z | 3 R | 48 R |
k = 103 ; M = 106 ; G = 109 ; T = 1012
P = 1015 ; E = 1018 ; Z = 1021 ; R = 1027
Vitesse d'un ordinateur
CPU : 4 coeurs de 2 GHz
8 milliards d'opérations par seconde
GPU
2020 (RTX 3070) : 3.65 milliards de hachages par seconde
2022 (RTX 4090) : 6.95 milliards de hachages par seconde
2025 (RTX 5090) : 8.90 milliards de hachages par seconde
Attaque par force brute
Est-ce que 3r*oZ$u6 serait un bon mot de passe ?
Attaque par force brute
https://www.hivesystems.com/blog/are-your-passwords-in-the-green
Attaque par dictionnaire
Optimisation de la force brute
Souvent une suite de mots
Essais de combinaisons de mots qui existent
https://www.passwortcheck.ch/fr/
passwordGymnase (avec et sans le dictionnaire anglais)
Gestionnaire de mots de passe
Stockage de tous les mots de passe
Un seul mot de passe à retenir (mot de passe maître)
Génération de mots de passe aléatoires pour les sites non critiques
Exemples : Bitwarden, KeePass, 1Password, Dashlane, …
Complexité du mot de passe
Versions sans animation, plein écran, imprimable.
Exercices
Lire l'article sur https://www.clubic.com/pro/entreprises/microsoft/actualite-438489-sur-teams-votre-mot-passe-est-stocke-en-clair-mais-ca-n-inquiete-pas-microsoft.html
- Quel problème évoque l'article ?
- Que pensez-vous de la réaction de Microsoft ?
- Que risque-t-on ?
- Comment s'y prendrait une personne malintentionnée ?
Réponses possibles
- Microsoft a stocké des mots de passe en clair sur Teams, ce qui pose un risque de sécurité pour les utilisateurs : quelqu'un qui aurait accès à votre ordinateur pourrait accéder à votre mot de passe et donc à votre compte.
- Microsoft a minimisé le problème en disant que c'était un problème de sécurité mineur. Pourrait-on lui faire confiance ?
- De perdre l'accès à son compte Microsoft, si le même mot de passe est utilisé pour d'autres comptes, cela pourrait entraîner une perte d'accès à d'autres services.
- Elle devrait d'abord accéder à l'ordinateur de la victime, par exemple laissé sans surveillance ou grâce à un accès à distance avec un logiciel malveillant. Ensuite, elle pourrait accéder au mot de passe en clair dans le fichier de configuration de Teams.
Lire l'article suivant :
Références
- https://fr.wikipedia.org/wiki/Mot_de_passe
- https://fr.wikipedia.org/wiki/Fonction_de_hachage
- https://fr.wikipedia.org/wiki/Gestionnaire_de_mots_de_passe
- https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-unternehmen/aktuelle-themen/schuetzen-sie-ihre-konten.html
- https://www.ionos.fr/digitalguide/serveur/securite/fonction-de-hachage/
- https://www.hivesystems.com/blog/are-your-passwords-in-the-green
- https://openbenchmarking.org/test/pts/hashcat-1.1.1
- https://www.passwortcheck.ch/fr/